חוקר אבטחה ותיק חשף השבוע את קיומו של ניצול חדש של macOS Keychain, תוך שהוא אומר באופן שנוי במחלוקת שהוא לא ישתף פרטים עם אפל בגלל מדיניות פרס הבאג שלה.
אפליקציית הדגמה, "KeySteal", מסוגלת לחלץ סיסמאות כניסה ומערכת מ-Keychain ללא כל הרשאות מנהל, ובלי קשר אם מוגדרות הגנת שלמות המערכת או רשימות בקרת גישה,לְפִילינוז הנזה. פריטים במחזיק מפתחות iCloud הםחֲסִין, אמר הנזהייזה.
עד כה לא היו דיווחים על שימוש בניצול בטבע, אבל בעלי מקינטוש מודאגים יכולים להגן על עצמם על ידי הוספת סיסמה נוספת למחזיק מפתחות הכניסה.
המחאה של הנזה נובעת מכך ששל החברהתוכנית הבאונטי באגמכסה רק iOS, לא macOS. חוקרים עצמאיים יכולים להיות תלויים בתשלומים כאלה.
אפילו בתחום ה-iOS התוכנית של אפל ספגה ביקורתקמצן יחסית, משלמים פחות ממה שמציעות חברות צד שלישי. תלבושת אחת כזו, Zerodium, לאחרונההעלה את פרסיועד לגובה של 2 מיליון דולר עבור פריצת jail של iOS מרחוק ומתמשך עם "אפס קליק". המקסימום שאפל תשלם הוא 200,000 דולר אפילו עם שלמות הפלטפורמות שלה על כף המאזניים.
